package tchk.xyz.lingyuntutorminiprogram.config;

import jakarta.servlet.FilterChain;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import tchk.xyz.lingyuntutorminiprogram.utils.JwtUtil;

import java.io.IOException;

// 确保这个过滤器在Spring容器中
@Component
// 继承OncePerRequestFilter保证每次请求只执行一次此过滤器
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private UserDetailsService userDetailsService; // Spring Security提供的服务，用于根据用户名加载用户信息

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain) throws ServletException, IOException {

        // 1. 从请求头获取Authorization字段
        final String authHeader = request.getHeader("Authorization");
        final String jwt;
        final String username;

        // 2. 检查Authorization头是否存在，并且是否以 "Bearer " 开头
        if (authHeader == null || !authHeader.startsWith("Bearer ")) {
            filterChain.doFilter(request, response); // 如果没有令牌，直接放行（后续的Security会拦截）
            return;
        }

        // 3. 提取JWT令牌
        jwt = authHeader.substring(7); // "Bearer " 长度为 7

        // 4. 从令牌中解析出用户名
        try {
            username = jwtUtil.getUsernameFromToken(jwt);
        } catch (Exception e) {
            // 如果解析失败（例如令牌过期、伪造），直接放行，让后续的Security处理
            filterChain.doFilter(request, response);
            return;
        }

        // 5. 校验令牌
        // SecurityContextHolder.getContext().getAuthentication() == null 表示当前用户尚未被认证
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

            // 根据用户名从数据库加载用户信息(包括权限)
            var userDetails = this.userDetailsService.loadUserByUsername(username);

            // 验证令牌是否有效（用户名匹配且未过期）
            if (!jwtUtil.isTokenExpired(jwt)) {
                // 创建一个已认证的Authentication对象
                UsernamePasswordAuthenticationToken authToken = new UsernamePasswordAuthenticationToken(
                        userDetails,
                        null, // 我们用JWT，所以不需要凭证（密码）
                        userDetails.getAuthorities() // 用户的权限集合
                );
                authToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

                // 将这个Authentication对象设置到Spring Security的上下文中
                // 这样，后续的Security逻辑就知道当前用户已经登录了
                SecurityContextHolder.getContext().setAuthentication(authToken);
            }
        }

        // 6. 无论如何都放行，让请求继续
        filterChain.doFilter(request, response);
    }
}